计世网

智能电视走入寻常百姓家 但大部分存重大安全风险
作者:佚名 | 来源:互联网
2018-03-15
  此次安全评测的产品普遍存在:安全漏洞未修复、配置不当、越权操作、调式端口防护不足、应用可远程静默安装、漏洞修复率低、用户敏感信息明文传输、预置应用安全防护缺

 


  此次安全评测的产品普遍存在:安全漏洞未修复、配置不当、越权操作、调式端口防护不足、应用可远程静默安装、漏洞修复率低、用户敏感信息明文传输、预置应用安全防护缺失等信息安全问题,这些问题将会给用户带来非常大的信息安全风险,人工智能电视信息安全状况不容乐观。

  以下列举出此次抽测的部分人工智能电视存在的突出安全问题及可能造成的影响:

  root权限可被远程获取,设备可被远程劫持

  部分被测人工智能电视高权限调试端口管控不严,系统核心服务组件存在root提权漏洞,不法分子可利用这些问题,获取电视的完全控制权,即电视对于攻击者处于完全“裸露”的状态。攻击者可随意实现远程开关摄像头,安装恶意应用,控制勒索、劫持电视播放内容显示违法广告,收集用户隐私生活信息等操作。用户将会遭受隐私泄露,财产损失,设备无法使用,甚至威胁到生命安全。

  远程执行adbshell命令远程执行adbshell命令

  明文传输用户信息,用户隐私易被泄露和攻击

  部分被测人工智能电视的预置应用存在明文传输用户信息的行为,用户的遥控器操作、语音控制内容、个人收视习惯信息等可被攻击者窃取或被恶意劫持。例如,某款产品在接收用户手机端APP发来的遥控控制请求时使用明文传输,导致内容可被中间人监听,拦截遥控器操作、语音控制内容。

  截获语音搜索信息截获语音搜索信息

  系统存在大量未修复漏洞,安全防护缺失

  人工智能电视搭载的操作系统版本通常较旧,且安全更新不完全。通过对被测人工智能电视的操作系统进行漏洞扫描和人工排查发现,部分电视的操作系统存在大量未修复漏洞,甚至存在已被公开利用的漏洞,如:脏牛漏洞(CVE-2016-5195)、蓝牙漏洞(CVE-2017-0785)等,攻击者可利用已知漏洞,获得系统提权,并可对系统进行破坏或窃取用户账户信息等。

  某设备漏洞修复情况某设备漏洞修复情况

  搭载开放操作系统的人工智能电视在给用户带来丰富体验的同时,也引入了大量安全风险,我们希望相关设备厂商及时采取必要的安全防护手段,增强操作系统和应用软件的安全防护能力,我们也提醒用户及时安装安全更新。同时,我们建议消费者提高安全意识,尽量选择经过安全认证的人工智能电视产品,保护自己的合法权益。

  本次评测结果我们已经在第一时间向相关厂家反馈并愿为相关企业提供相应的技术咨询,共同提高产品的安全防护能力。

  来源:新浪科技

责任编辑:杨昕仪